Как установить SSL сертификат на свой веб-сервер (Apache2, Nginx). Постоянный редирект

В этом посте пойдёт речь как установить SSL сертификат на свой веб сервер через isp manager и напрямую через apache2 или nginx . Так же в этом посте будет рассмотрен способ и сайт для генерации бесплатного SSL сертификата длительностью на 1 ГОД! Подробности под катом.
Как установить SSL сертификат
SSL сертификаты обеспечивают защиту от прослушивания информации между клиентом и сервером в Интернете.

Устанавливая SSL сертификат на ваш сайт, вы поднимете продажи вашего сайта и обезопасите ваших клиентов.

Для установки SSL Сертификата необходимо:

1. купить отдельный айпи адрес для вашего сайта.
   2. получить SSL Сертификат
2. сохранить закрытый ключ при генереации SSL Сертификата, начинается с (--BEGIN RSA PRIVATE KEY--)

Установка SSL Сертификата - ISPMANAGER

1. в настройках домена добавьте доступ по протоколу SSL порт 443
2. в меню SSL Сертификаты создать существующий сертификат
3. в поле "Ключ"; необходимо добавить скопированный защитный ключ начинается с BEGIN RSA
4. с поле "Сертификат"; необходимо добавить сертификат который пришел на email начинается с --BEGIN CERTIFICATE--
5. в поле "Цепочка сертификатов"; необходимо добавить цепочку сертификатов обычно называется файл bundle, но может и не быть. Зависит от конкретной ситуации

Установка SSL Сертификата - APACHE 2

1. выделите для домена отдельный ip адрес
2. скомпилируйте apache с поддержкой ssl
3. добавить в apache конфиг в разделе server virtualhost с портом 443:

NameVirtualHost ваш ip:443 ServerName ваш ip:443 ServerAlias www.вашдомен.com:443 SSLEngine on SSLCertificateFile /путь/cert.crt SSLCertificateKeyFile /путь/cert.key SSLCACertificateFile /путь/cert.bundle

1. в файл cert.crt необходимо добавить сертификат который пришел на почту начинается с --BEGIN CERTIFICATE--
2. в файл cert.bundle необходимо добавить цепочку сертификатов обычно называется файл bundle

Установка SSL Сертификата - NGINX

1. выделите для домена отдельный ip адрес
2. скомпилируйте nginx с поддержкой ssl ./configure -with-http_ssl_module
3. добавить в nginx конфиг в разделе server следующие строки:

listen 443 default ssl; ssl_certificate /путь/ssl/cert.pem; ssl_certificate_key /путь/ssl/cert.key; ssl_client_certificate /home/ssl/cert.pem; ssl_verify_client off; ssl_ciphers ECDHE-RSA-AES256-SHA:AES256-SHA:CAMELLIA256-SHA:DES-CBC3-SHA; ssl_prefer_server_ciphers on; ssl_protocols TLSv1; ssl_session_cache shared:SSL:10m; ssl_session_timeout 5m;

1. в файл cert.key необходимо добавить скопированный защитный ключ начинается с BEGIN RSA
2. в файл cert.pem необходимо добавить сертификат который пришел на почту начинается с --BEGIN CERTIFICATE-- и добавить цепочку сертификатов обычно называется файл bundle

Это то что касается именно установки сертификата. Но вы спросите где его взять? Рассказываю как я получил сертификат сроком на 1 год для 1 домена бесплатно, причём этот сертификат считается доверенным, т.к. официальным и браузеры его принимают на ура!

Для начала перейдём на сайт https://www.startssl.com/ и там регистрируемся, для начала нажмём на фри сертификат, введём свои данные (имя фамилия, адрес проживания, телефон, почта).

На эту почту вам придёт код активации, вы его вводите, потом вводите домен, для которого хотите получить сертификат. Указываете почту администратора (создайте на вашем сервере почту с адресом из предложенных на их сайте, я создал у себя webmaster).

На эту почту вам придёт код, который нужно ввести в следующую форму, это необходимо чтоб подтвердить административный доступ к своему серверу.

После этого вы получите 2 файла, crt и key. Для того чтобы установить ключи на свой сервер через isp manager зайдите в раздел tools на сайте старт ссл, там выберите раскодирование файла ключа, откройте файл формата key в блокноте, скопируйте его содержимое и вставьте в большое поле, ниже введите пароль от этого ключа, который вы указали на этапе его формирования. на выходе вы получите раскодированный текст. Используйте его в качестве рса ключа в isp manager, там же введите пароль к этому ключу, который вы уже указывали ранее.

Перезапустите сервер на всякий случай и попробуйте открыть в браузере https адрес вашего сайта. Если у вас не будет ошибок сертификата - значит всё супер 🙂

Для выполнения данного руководства необходимы следующие инструменты:

1. Браузер Google Chrome
2. Веб-сервер Apache, предварительно установленный на виртуальный выделенный сервер
3. Доменное имя
4. Доступ к одному из почтовых адресов:

[email protected]
[email protected]
[email protected]

StartSSL.com предлагает вашему сайту абсолютно бесплатный заверенный SSL-сертификат (т.е., посещая ваш сайт, пользователи больше не увидят отпугивающий красный экран с сообщением «this site isn’t trusted»). Это отличная возможность сэкономить на покупке заверенного сертификата.

Для начала откройте сайт StartSSL.com и при помощи панели инструментов перейдите StartSSL Products →StartSSL™ Free. В верхней части страницы выберите Control Panel.

Примечание : Для выполнения руководства нужно использовать Google Chrome.

Выберите опцию Express Signup.

Укажите свои личные данные и нажмите кнопку continue. Вы получите электронное письмо с проверочным кодом. Скопируйте и вставьте в форму на странице StartSSL.

Ваш запрос на сертификат будет рассмотрен, после чего вы получите сообщение с новой информацией. Наберитесь терпения: этот процесс может занять около 6 часов.

На данном этапе нужно создать закрытый ключ; существует 2 уровня сложности этого ключа: High и Medium. Выберите High.

Когда ключ будет готов, нажмите Install.

Chrome выведет всплывающее окно, сообщающее, что сертификат был успешно установлен.

Итак, теперь браузер авторизован при помощи нового сертификата, а это значит, что теперь вы имеете доступ к StartSSL AUTHENTICATION AREAS. На данном этапе нужно корректно отформатировать созданный сертификат, чтобы VPS мог использовать его. Нажмите на ссылку Control panel и выберите опцию Authenticate. Chrome выведет всплывающее окно, спрашивая, нужно ли пройти авторизацию, и покажет только что установленный сертификат. Войдите в панель управления при помощи этого сертификата.

Также нужно подтвердить доменное имя, так как без этого невозможно установить сертификат. В панели управления выберите Validations Wizard, а затем Type to Domain Name Validation. При этом будет запрошен адрес электронной почты, привязанный к этому домену (он выглядит примерно так: [email protected]).

Проверьте указанный почтовый ящик. Вы должны получить еще одно проверочное письмо; как и ранее, скопируйте и вставьте код в форму на веб-сайте StartSSL.

Откройте вкладку Certificates Wizard и выберите Web Server SSL/TLS Certificate. Нажмите Continue и введите пароль, оставив остальные поля как есть.

На экране появится текстовое поле, которое содержит закрытый ключ. Скопируйте и вставьте его в текстовом редакторе, а затем сохраните его в файл с именем ssl.key.

Нажмите Continue, после чего браузер спросит, для какого домена нужно создать сертификат.

Укажите свой домен и переходите к следующему разделу.

При этом будет запрошен субдомен, к которому будет привязан сертификат. В большинстве случаев используется www; чтобы использовать другой поддомен, просто введите его в это поле вместо www.

StartSSL предоставит вам новый сертификат в текстовом поле, как это было с закрытым ключом.

Снова скопируйте и вставьте полученные данные в текстовый редактор и сохраните файл как ssl.crt.

Щёлкните в окне Save Certificate правой кнопкой и сохраните данные в два файла:

• StartCom Root CA (PEM Encoded) (сохраните в ca.pem)
• Class 1 Intermediate Server CA (сохраните в sub.class1.server.ca.pem).

В целях безопасности StartSSL шифрует закрытый ключ (файл ssl.key); но серверу необходима его незашифрованная версия. Чтобы расшифровать его в файл private.key, скопируйте его на сервер и используйте следующую команду:

openssl rsa -in ssl.key -out private.key

OpenSSL запросит пароль; введите пароль, который вы использовали на сайте StartSSL.

Итак, на данный момент у вас 5 файлов; проверьте, все ли они на месте:

• ca.pem: Root-сертификат StartSSL;
• private.key: незашифрованная версия закрытого ключа (этот файл нужно тщательно хранить от посторонних);
• sub.class1.server.ca.pem: промежуточный сертификат StartSSL;
• ssl.key: зашифрованная версия закрытого ключа;
• ssl.crt: новый сертификат.

Файл ssl.key можно оставить. Остальные файлы нужно скопировать на сервер, если вы не сделали этого ранее:

scp {ca.pem,private.key,sub.class1.server.ca.pem,ssl.crt} YOURSERVER:~

Включение сертификата на Apache

Итак, сертификат готов к использованию; теперь нужно настроить веб-сервер Apache для использования нового сертификата SSL. Данный раздел продемонстрирует настройку Apache на сервере Ubuntu. Отредактируйте команды согласно вашему дистрибутиву.

Для начала нужно создать каталог для хранения ключей. Включите модуль SSL веб-сервера и перезапустите Apache:

sudo a2enmod ssl
sudo service apache2 restart
sudo mkdir -p /etc/apache2/ssl

Скопируйте ранее созданные файлы в каталог /etc/apache2/ssl на сервере.

s udo mkdir -p /etc/apache2/ssl
cp ~/{ca.pem,private.key,sub.class1.server.ca.pem,ssl.crt} /etc/apache2/ssl

Затем выполните:

ls /etc/apache2/ssl

Эта команда вернёт:

ca.pem
ssl.crt
private.key
sub.class1.server.ca.pem

Теперь откройте конфигурационный файл apache2. При использовании стандартных настроек введите:

nano /etc/apache2/sites-enabled/000-default

Этот файл имеет примерно такой вид:

DocumentRoot /var/www

Options FollowSymLinks
AllowOverride None



AllowOverride None
Order allow,deny
allow from all



AllowOverride None

Order allow,deny
Allow from all



# alert, emerg.
LogLevel warn




AllowOverride None
Order deny,allow
Deny from all

Скопируйте этот скрипт и внесите его под уже существующим кодом, а затем измените верхнюю строчку:

таким образом:

SSLEngine on
SSLProtocol all -SSLv2

В результате должно получиться:

ServerAdmin webmaster@localhost
DocumentRoot /var/www

Options FollowSymLinks
AllowOverride None


Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all

ErrorLog ${APACHE_LOG_DIR}/error.log
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/access.log combined
Alias /doc/ "/usr/share/doc/"

Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
Allow from 127.0.0.0/255.0.0.0::1/128



SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM
SSLCertificateFile /etc/apache2/ssl/ssl.crt
SSLCertificateKeyFile /etc/apache2/ssl/private.key
SSLCertificateChainFile /etc/apache2/ssl/sub.class1.server.ca.pem
ServerAdmin webmaster@localhost
DocumentRoot /var/www

Options FollowSymLinks
AllowOverride None


Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all

ErrorLog ${APACHE_LOG_DIR}/error.log
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/access.log combined
Alias /doc/ "/usr/share/doc/"

Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
Allow from 127.0.0.0/255.0.0.0::1/128

TLS (Transport Layer Security) и его предшественник SSL (Secure Socket Layers) – это криптографические протоколы, которые используются для защиты передачи данных в Интернете.

Эта технология позволяет защитить обмен данными между сервером и клиентом и предотвратить перехват или несанкционированный доступ к передаваемой информации. Кроме того, эти протоколы предоставляют систему сертификатов, которая помогает пользователям проверить подлинность сайтов, на которые они заходят.

Данное руководство поможет создать самоподписанный SSL-сертификат для веб-сервера Apache в Ubuntu 16.04.

Требования

• Не-root пользователь с доступом к sudo (инструкции по созданию такого пользователя – в этой статье).
• Предварительно установленный веб-сервер Apache. Можно установить стек LAMP, одним из компонентов которого является Apache (для этого следуйте ); чтобы установить только Apache, выполните только инструкции по установке этого веб-сервера, пропустив остальные разделы.

1: Создание SSL-сертификата

Для работы TLS/SSL использует комбинацию открытого сертификата и закрытого ключа. Закрытый ключ хранится на сервере и не разглашается. SSL-сертификат используется открыто и доступен всем пользователям, запрашивающим контент.

Чтобы создать самоподписанный сертификат и ключ, запустите команду:

Sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt

Команда задаст ряд вопросов. Рассмотрим компоненты команды подробнее:

• openssl: базовый инструмент командной строки для создания и управления сертификатами, ключами и другими файлами OpenSSL.
• req: эта подкоманда указывает, что на данном этапе нужно использовать запрос на подпись сертификата X.509 (CSR). X.509 – это стандарт инфраструктуры открытого ключа, которого придерживаются SSL и TLS при управлении ключами и сертификатами. То есть, данная команда позволяет создать новый сертификат X.509.
• -x509: эта опция вносит поправку в предыдущую субкоманду, сообщая утилите о том, что вместо запроса на подписание сертификата необходимо создать самоподписанный сертификат.
• -nodes: пропускает опцию защиты сертификата парольной фразой. Нужно, чтобы при запуске сервер Apache имел возможность читать файл без вмешательства пользователя. Установив пароль, придется вводить его после каждой перезагрузки.
• -days 365: эта опция устанавливает срок действия сертификата (как видите, в данном случае сертификат действителен в течение года).
• -newkey rsa:2048: эта опция позволяет одновременно создать новый сертификат и новый ключ. Поскольку ключ, необходимый для подписания сертификата, не был создан ранее, нужно создать его вместе с сертификатом. Данная опция создаст ключ RSA на 2048 бит.
• -keyout: эта опция сообщает OpenSSL, куда поместить сгенерированный файл ключа.
• -out: сообщает OpenSSL, куда поместить созданный сертификат.

Как уже было сказано, все эти опции сгенерируют ключ и сертификат. Заполните появившиеся поля данными о сервере, которые будут отображаться в сертификате.

Самой важной строкой является Common Name (введите полное доменное имя сервера (FQDN) или свое имя). Как правило, в эту строку вносят доменное имя, с которым нужно связать сервер. В случае если доменного имени нет, внесите в эту строку IP-адрес сервера. В целом эти поля выглядят примерно так:

Country Name (2 letter code) :US
State or Province Name (full name) :New York
Locality Name (eg, city) :New York City
Organization Name (eg, company) :Bouncy Castles, Inc.
Organizational Unit Name (eg, section) :Ministry of Water Slides
Common Name (e.g. server FQDN or YOUR name) :server_IP_address
Email Address :admin@your_domain.com

Файлы ключа и сертификата будут помещены в каталог /etc/ssl.

При использовании OpenSSL нужно также создать ключи Диффи-Хеллмана, которые нужны для поддержки PFS (совершенной прямой секретности).

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Этот процесс займёт несколько минут. Ключи DH будут помещены в /etc/ssl/certs/dhparam.pem.

2: Настройка Apache для поддержки SSL

Итак, на данном этапе файлы ключа и сертификата созданы и хранятся в каталоге /etc/ssl. Теперь нужно отредактировать настройки Apache:

1. Создать сниппет конфигураций, указывающий место хранения файлов SSL-сертификата и ключа.
2. Настроить виртуальный хост Apache для поддержки сертификата SSL.
3. Настроить незашифрованные виртуальные хосты для автоматической переадресации запросов на зашифрованный хост (опционально).

Местонахождение ключа и сертификата

Для начала нужно создать сниппет конфигураций Apache, определяющий некоторые параметры SSL; здесь можно выбрать метод шифрования SSL и включить дополнительные функции безопасности. Заданные здесь параметры в дальнейшем могут быть использованы любыми виртуальными хостами для поддержки SSL.

Создайте новый сниппет Apache в каталоге etc/apache2/conf-available.

sudo nano /etc/apache2/conf-available/ssl-params.conf

Для безопасной настройки SSL обратимся к рекомендациям Remy van Elst на сайте Cipherli.st. Этот сайт предназначен для распространения простых и надёжных параметров шифрования для популярного программного обеспечения. Больше параметров для Apache можно найти .

Примечание : Данный список настроек подходит для более новых клиентов. Чтобы получить настройки для других клиентов, перейдите по ссылке Yes, give me a ciphersuite that works with legacy / old software.

Скопируйте все предложенные параметры.

Также нужно добавить параметр SSLOpenSSLConfCmd DHParameters, чтобы настроить поддержку ключей Диффи-Хеллмана.

# from https://cipherli.st/
# and https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off
SSLSessionTickets Off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

Сохраните и закройте файл.

Настройка стандартного виртуального хоста Apache

Теперь нужно настроить стандартный виртуальный хост Apache (/etc/apache2/sites-available/default-ssl.conf) для поддержки SSL.

Примечание : Если вы используете другой виртуальный хост, укажите его имя вместо /etc/apache2/sites-available/default-ssl.conf.

Прежде чем приступить к настройке, создайте резервную копию файла хоста.

sudo cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/default-ssl.conf.bak

Откройте хост в текстовом редакторе:

sudo nano /etc/apache2/sites-available/default-ssl.conf

На данный момент файл виртуального хоста выглядит примерно так (закомментированные строки опущены для удобства):

ServerAdmin webmaster@localhost
DocumentRoot /var/www/html


SSLEngine on
SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

SSLOptions +StdEnvVars


SSLOptions +StdEnvVars

# BrowserMatch "MSIE " \
# nokeepalive ssl-unclean-shutdown \
# downgrade-1.0 force-response-1.0

В файл нужно внести несколько небольших поправок: отредактировать директивы ServerAdmin и ServerName, изменить параметры SSL, указав файлы ключа и сертификата, и раскомментировать раздел конфигураций, отвечающих за совместимость с устаревшими версиями браузеров.

В результате файл будет иметь такой вид:

ServerAdmin [email protected]
ServerName server_domain_or_IP
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
SSLEngine on
SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt
SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.key

SSLOptions +StdEnvVars


SSLOptions +StdEnvVars

BrowserMatch "MSIE " \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0

Сохраните и закройте файл.

Настройка переадресации (опционально)

На данный момент сервер поддерживает и HTTP, и HTTPS. Для более надёжной защиты сервера рекомендуется отключить незашифрованный трафик HTTP.

Отредактируйте виртуальный хост, разрешающий HTTP-трафик, и настройте переадресацию. Откройте файл /etc/apache2/sites-available/000-default.conf:

В блок VirtualHost добавьте директиву Redirect, которая будет переадресовывать весь незашифрованный трафик:

. . .
Redirect "/" "https://your_domain_or_IP"
. . .

Сохраните и закройте файл.

3: Настройка брандмауэра

Если вы включили брандмауэр ufw (согласно руководству по начальной настройке), на данном этапе его нужно настроить для поддержки трафика SSL. К счастью, при установке Apache регистрирует в ufw несколько своих профилей.

Чтобы просмотреть доступные профили, введите:

sudo ufw app list
Available applications:
Apache
Apache Full
Apache Secure
OpenSSH

Текущие настройки можно просмотреть при помощи команды:

Если разрешен только трафик HTTP, настройки будут иметь такой вид:

Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
Apache ALLOW Anywhere

Apache (v6) ALLOW Anywhere (v6)

Чтобы добавить поддержку трафика HTTPS, нужно включить профиль Apache Full и отключить профиль Apache.

sudo ufw allow "Apache Full"
sudo ufw delete allow "Apache"

Проверьте текущее состояние брандмауэра:

sudo ufw status
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
Apache Full ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Apache Full (v6) ALLOW Anywhere (v6)

4: Обновление настроек Apache

Итак, теперь настройки веб-сервера и брандмауэра откорректированы. Можно включить SSL и настроенный для поддержки сертификата виртуальный хост, а затем перезапустить веб-сервер.

Включите модуль Apache для SSL, mod_ssl, и модуль mod_headers, который необходим для работы сниппета SSL:

sudo a2enmod ssl
sudo a2enmod headers

Включите подготовленный виртуальный хост:

sudo a2ensite default-ssl

Итак, теперь сайт и все необходимые модули включены. Проверьте синтаксис на наличие ошибок:

sudo apache2ctl configtest

Если ошибок нет, команда вернёт:

AH00558: apache2: Could not reliably determine the server"s fully qualified domain name, using 127.0.1.1. Set the "ServerName" directive globally to suppress this message
Syntax OK

Первая строка вывода сообщает, что директива ServerName установлена не глобально. Чтобы устранить это предупреждение, отредактируйте директиву ServerName в /etc/apache2/apache2.conf, указав доменное имя или IP сервера (это опционально, данное предупреждение устранять необязательно).

Если в синтаксисе обнаружены ошибки, исправьте их. Затем перезапустите веб-сервер:

5: Тестирование

Теперь нужно убедиться, что трафик между сервером и клиентом шифруется. Откройте в браузере следующую ссылку:

https://домен_или_IP_сервера

Поскольку сертификат был подписан самостоятельно, браузер сообщит о его ненадёжности:

Your connection is not private
Attackers might be trying to steal your information
(for example, passwords, messages, or credit cards). NET::ERR_CERT_AUTHORITY_INVALID

Это нормальное поведение программы в подобной ситуации, поскольку браузер не может проверить подлинность хоста. Однако в данном случае нужно только шифровать трафик, с чем самоподписанный сертификат вполне справляется, потому предупреждение браузера можно пропустить. Для этого нажмите кнопку ADVANCED и кликните по предложенной ссылке.

После этого вы получите доступ к своему сайту.

Если вы настроили два блока server для переадресации трафика HTTP на HTTPS, проверьте, работает ли переадресация:

http://server_domain_or_IP

6: Постоянный редирект

Если все настройки сервера работают должным образом, настройте постоянный редирект вместо временного.

Откройте файл виртуального хоста Apache:

sudo nano /etc/apache2/sites-available/000-default.conf

Найдите ранее добавленную директиву Redirect и установите значение permanent.

. . .
Redirect permanent "/" "https://your_domain_or_IP"
. . .

Сохраните и закройте файл. Проверьте синтаксис:

sudo apache2ctl configtest

Перезапустите Apache:

sudo systemctl restart apache2

Заключение

Теперь сервер Apache может шифровать передаваемые данные, что защитит взаимодействие сервера с клиентами и предотвратит перехват трафика злоумышленниками.

Tags: ,

Мы рассказывали раньше. Эта статья поможет вам установить SSL-сертификат на Apache.

Установка SSL-сертификата

Для установки сертификата потребуется:

1. Файл сертификата и цепочка сертификата. Центр сертификации присылает эти данные на почтовый ящик владельца сертификата.
2. Ключ сертификата. Он у вас должен быть. Ключ генерируется перед подачей запроса на выпуск сертификата вместе с CSR-запросом.
3. Root доступ к серверу.

Итак, рассмотрим детальнее.

1. Копируем файлы сертификата на ваш сервер (например, через FTP-клиент).

2. Редактируем файл конфигурации Apache.

Примечание: по умолчанию путём к этому файлу является /etc/httpd/httpd.conf , где для каждого домена созданы блоки (они могут находиться в нижней части файла httpd.conf. ), но иногда блоки прописаны отдельно - например, в под-директориях /etc/httpd/vhosts.d/ или /etc/httpd/sites/ или в файле ssl.conf. Перед редактированием файла необходимо убедиться в наличии этих блоков, а сам файл лучше скопировать и сохранить под другим именем (например, httpd.conf_old) , чтобы иметь возможность откатиться к предыдущей конфигурации.

Итак, редактируем настройки работы виртуального хоста для установления SSL-соединения. Строки, прописанные жирным шрифтом должны быть добавлены в конфигурационный файл:

DocumentRoot /var/www/html2
ServerName www.yourdomain.com
SSLEngine on
SSLCertificateFile /path/to/your_domain_name.crt
SSLCertificateKeyFile /path/to/your_private.key
SSLCertificateChainFile /path/to/.сa-bundle

Имена файлов и пути к ним должны соответствовать именам и расположению файлов сертификатов:

• SSLCertificateFile - файл вашего сертификата (например: your_domain_name.crt).
• SSLCertificateKeyFile - файл ключа, который был создан при генерации CSR и начинается тегом -----BEGIN PRIVATE KEY-----. Для получения такого файла необходимо скопировать ключ в созданный на компьютере обычный текстовый документ и сохранить файл таким образом, чтобы его название заканчивалось на ".key". Если для генерирования CSR-запроса использовалась наша панель SSL, связка ключей CSR-RSA была отправлена вам на почту (если только вы не убрали эту опцию).
• SSLCertificateChainFile - файл цепочки сертификатов (корневой + промежуточный сертификаты).

Примечание: Если необходимо, чтобы сайт работал и с защищенным соединением и с незащищенным, вам необходим виртуальный хост для каждого соединения. Сделайте копию существующего незащищенного виртуального хоста и создайте его для SSL-соединения.

3. Проверяем конфигурацию Apache.

Для того, чтобы изменения вступили в силу, Вам необходимо будет перезапустить Apache, однако, если в конфигурационном файле есть ошибки - Вам это не удастся. Чтобы избежать лишних затруднений, проверяем работоспособность веб-сервера следующей командой:

apachectl configtest

4. Перезапускаем Apache.

Нужен SSL-сертификат для сайта? Мы предлагаем сертификаты от известных центров сертификации: Comodo , GeoTrust , Thawte и Symantec. У нас также можно и мультидоменный ssl-сертификат.

1. Сначала на сервер необходимо скопировать файлы сертификата при помощи FTP-клиента.

2. На втором этапе подлежит редактированию конфигурационный файл Apache.

Примечание: как правило, этот файл можно найти, указав следующий путь /etc/httpd/httpd.conf . Здесь каждому домену присваивается отдельный блок. Блоки могут располагаться в нижней части конфигурационного файла httpd.conf . Однако, в некоторых случаях они прописываются в субдиректориях, таких как /etc/httpd/vhosts.d/ или /etc/httpd/sites/ , а также в файле ssl.conf . Перед тем, как приступить к редактированию файла, пожалуйста, убедитесь, что данные блоки присутствуют в наличии. Чтобы избежать потери данных и сделать возможным возврат к первоначальным настройкам, мы рекомендуем сделать копию конфигурационного файла и переименовать его, например, в httpd.conf_old .

Переходим непосредственно к редактированию. Настройка SSL на Apache для того, что виртуальный хост мог работать по защищенному соединению, требует добавления в файл httpd.conf следующих строк (добавляются 4 нижние строки под записью ServerName с вашим доменом):

DocumentRoot /var/www/html2 ServerName www.yourdomain.com SSLEngine on SSLCertificateFile /path/to/your_domain_name.crt SSLCertificateKeyFile /path/to/your_private.key SSLCertificateChainFile /path/to/.сa-bundle

Требуется, чтобы названия файлов и пути к ним совпадали с названиями и путями к файлам сертификатов.

SSLCertificateFile – содержимое вашего SSL-сертификата, имеет вид your_domain_name.crt

SSLCertificateKeyFile – RSA-ключ, который генерируется одновременно с CSR-запросом.

SSLCertificateChainFile – цепочка сертификатов, которая включает в себя корневой и промежуточный сертификаты.

Примечание: если вы хотите, чтобы сайт открывался как по соединению https, так и по http, Вам необходимо скопировать ранее созданный для незашифрованного соединения виртуальный хост и расположить его ниже виртуалхоста, в который внесли изменения при выполнении указанной выше инструкции.

3. Обязательно проверьте текущие настройки Apache.

Чтобы Apache начал работать с новыми настройками, необходимо его перезапустить, однако, это вам сделать не удастся при наличии ошибок в конфигурационном файле. Для того чтобы упростить Вам работу, мы рекомендуем выполнить следующую команду для проверки работоспособности вебсервера:

Apachectl configtest

4. Теперь можно перезапустить Apache при помощи команды:

Debian , Ubuntu :

Service apache2 restart

CentOS , Fedora :

Service httpd restart

Apachectl restart

На этом процесс установки закончен - ваш установлен. Если же настройка https на Apache все еще вызывает у вас вопросы — обращайтесь в нашу поддержку.

Еще не решили какой купить сертификат? Мы предлагаем сертификаты от Центров сертификации Comodo, Symantec и GeoTrust. У нас вы можете . Также в Европе и США еще никогда не была настолько доступна.